سياسة إدارة هويات الدخول والصلاحيات
تصنيف الوثيقة: مقيّد
الإصدار: 2.0
التاريخ: 02/11/2025
المرجع: الهيئة الوطنية للأمن السيبراني

إخلاء المسؤولية:
طور هذا النموذج عن طريق الهيئة الوطنية للأمن السيبراني كمثال توضيحي يمكن استخدامه كدليل مرجعي للأعمال، مع مواءمته والتعديل من قِبل الجهات المختصة بجامعة نجران للمتطلبات التشريعية والتنظيمية ذات العلاقة. يجب أن يُعتمَد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويضه. تبرز الهيئة أنها غير مسئولة عن استخدام هذا النموذج كما هو، وأنه لا يعد أكثر من مثال توضيحي.

قائمة المحتويات:

  1. الغرض
  2. نطاق العمل
  3. بنود السياسة
    1. البنود العامة
    2. صلاحية منح الدخول
    3. متطلبات صلاحيات الوصول الهامة والحسّاسة
    4. منح صلاحية الدخول عن بُعد
    5. إلغاء وتغيير صلاحية الوصول
    6. مراجعة هويات الدخول والصلاحيات
    7. إدارة كلمات المرور
    8. حماية كلمات المرور
  4. الأدوار والمسؤوليات
  5. التحديث والمراجعة
  6. الالتزام بالسياسة


1. الغرض:
تحديد متطلبات الأمن السيبراني المتعلقة بإدارة هويات الدخول والصلاحيات على الأصول المعلوماتية والتقنية الخاصة بجامعة نجران، لحمايتها من المخاطر السيبرانية والتهديدات الداخلية والخارجية، من خلال التركيز على الأهداف الأساسية للحماية: سرية المعلومات، سلامتها، وتوافرها. تمت مواءمة هذه السياسة مع الضوابط والمعايير الصادرة من الهيئة الوطنية للأمن السيبراني والمتطلبات التنظيمية والتشريعية ذات العلاقة.

2. نطاق العمل:
تطبق هذه السياسة على جميع الأصول المعلوماتية والتقنية في جامعة نجران، وعلى كافة العاملين (الموظفين والمتعاقدين) في الجامعة.

3. بنود السياسة:
3.1 البنود العامة:

  1. 1-1. يجب توثيق واعتماد آلية منح وتعديل وإلغاء ومراقبة صلاحيات الوصول والتأكد من تطبيقها في جامعة نجران للأصول المعلوماتية والتقنية.
  2. 1-2. إنشاء هويات المستخدمين وفقًا للتشريعات والتنظيمات ذات العلاقة بجامعة نجران.
  3. 1-3. يجب التحقق من هوية المستخدم باستخدام اسم مستخدم وكلمة مرور قبل منح صلاحية الوصول للأصول المعلوماتية والتقنية الخاصة بجامعة نجران.
  4. 1-4. يجب التأكد من المحافظة على سرية هوية المستخدم والحسابات والصلاحيات، بما في ذلك الطلب من المستخدمين (للعاملين والأطراف الخارجية والمستخدمين) حفظ خصوصيتها.
  5. 1-5. يجب اعتماد وثيقة مصفوفة صلاحيات المستخدمين (User Authorization Matrix) ومراجعتها بناءً على مبادئ التحكم بالدخول والصلاحيات التالية:
    1. مبدأ الحاجة إلى المعرفة والاستخدام (Need-to-Know and Need-to-Use)
    2. مبدأ فصل المهام (Segregation of Duties)
    3. مبدأ الحد الأدنى من الامتيازات (Least Privilege)
  6. 1-6. يجب تطبيق ضوابط للتحقق من الهويات والصلاحيات على جميع الأصول المعلوماتية والتقنية من خلال نظام مركزي آلي للتحكم في الوصول مثل خدمات الدليل النشط (Active Directory – Domain Services) في جامعة نجران.
  7. 1-7. يجب منع استخدام الحسابات المشتركة (Generic User Accounts) للوصول إلى الأصول المعلوماتية والتقنية الخاصة بجامعة نجران.
  8. 1-8. يجب التأكد من الإدارة الآمنة للجلسات (Secure Session Management)، بما في ذلك ضبط الجلسات لإغلاقها تلقائيًا بعد فترة زمنية محددة (Timeout) وتعطيل الجلسات (Lockout) والتحقق من أصالة الجلسات (Session Authenticity) وفق معايير جامعة نجران المعتمدة في سياسة إدارة هويات الدخول والصلاحيات.
  9. 1-9. يجب ضبط إعدادات الأنظمة وجلسات الاتصال لإنهائها تلقائيًا بعد فترة زمنية محددة (Timeout) وفق معايير جامعة نجران المعتمدة لدى إدارة هويات الدخول والصلاحيات.
  10. 1-10. يجب ضبط إعدادات الأنظمة وجلسات الاتصال لتعطيلها مؤقتًا بعد عدد معين من محاولات الدخول غير الناجحة وفق معيار جامعة نجران المعتمد لدى إدارة هويات الدخول والصلاحيات.
  11. 1-11. يجب تعطيل حسابات المستخدمين غير النشطة وفق معيار جامعة نجران المعتمد لدى إدارة هويات الدخول والصلاحيات خلال فترة زمنية محددة.
  12. 1-12. يجب ضبط إعدادات أنظمة إدارة الهويات والوصول لإرسال السجلات إلى نظام تسجيل ومراقبة أحداث الأمن السيبراني المركزي وفق سياسة جامعة نجران.
  13. 1-13. يجب عدم منح صلاحيات الوصول المباشر إلى قواعد البيانات للأنظمة الحساسة إلا لمشرفي قواعد البيانات (Database Administrators) بعد تطبيق إجراءات أمن قواعد البيانات المعتمدة لدى جامعة نجران.
  14. 1-14. يجب توثيق واعتماد إجراءات إدارة حسابات الخدمة (Service Accounts)، وتعطيل الدخول البشري التفاعلي (Interactive Login)، ومراجعتها دوريًا وفق إجراءات جامعة نجران المعتمدة.
  15. 1-15. يجب إدارة صلاحيات المستخدمين بناءً على حساسية الأصول التقنية ومستوى الاحتياجات الوظيفية للعمل، مع مراعاة المتطلبات التشريعية والتنظيمية ذات العلاقة قبل توظيف المستخدم وتحديث حسابه عند تغيير المهام.
  16. 1-16. يجب تطوير مؤشرات أداء مستمرة (KPI) لقياس الاستخدام الصحيح والفعال لإدارة هويات الدخول والصلاحيات لضمان تحقيق متطلبات الحماية في الدخول.


3.2 صلاحية منح الدخول:

  1. 2-1-1. يجب منح صلاحية الدخول بناءً على طلب المستخدم من خلال نموذج معتمد من الإدارة المعنية (مدير مباشر أو صاحب النظام) في نظام إدارة الأمن السيبراني، على أن يتضمن الطلب اسم النظام ونوع الطلب والصلاحية ومدة الصلاحية (إن كانت مؤقتة).
  2. 2-1-2. يجب منح صلاحية الوصول إلى الأصول المعلوماتية والتقنية الخاصة بجامعة نجران مع أخذ الموافقات ذات الصلة والدور والمسؤوليات بعين الاعتبار.
  3. 2-1-3. يجب اتباع آلية موحدة لإنشاء هويات المستخدمين تتيح كتابة "هوية المستخدم" (User ID) بطريقة متسقة، مثل استخدام أول حرف من الاسم الأول ونقطة والاسم الأخير، أو رقم الموظف المعرف مسبقًا لدى إدارة الموارد البشرية.
  4. 2-1-4. يجب منع عملية تسجيل الدخول المتزامن (Concurrent Logins) من أجهزة كمبيوتر متعددة في نفس الوقت للمستخدم الواحد.
  5. 2-1-5. يجب تحديد عدد محاولات الدخول غير الناجحة المسموح بها وفق معايير جامعة نجران المعتمدة لدى إدارة هويات الدخول والصلاحيات لتفادي هجمات تخمين كلمات المرور.


3.3 متطلبات صلاحيات الوصول الهامة والحسّاسة:

  1. 2-2-1. يجب تعيين صلاحيات مديري النظام (Sys ID) بناءً على المهام الوظيفية، مع مراعاة مبدأ فصل المهام (Segregation of Duties).
  2. 2-2-2. يجب تفعيل سجل كلمات المرور (Password History) لتتبع عدد مرات تغيير كلمة المرور.
  3. 2-2-3. يجب تغيير أسماء الحسابات الافتراضية أو الخاصة ذات الصلاحيات الهامة والحسّاسة (مثل "مدير حساب" Admin أو "الحساب الرئيسي" Root أو "Sys ID") قبل الإنتاج.
  4. 2-2-4. يجب منع استخدام الحسابات ذات الصلاحيات الهامة والحسّاسة للوصول إلى الإنترنت.
  5. 2-2-5. يجب التحقق من حسابات المستخدمين ذات الصلاحيات الهامة والحسّاسة على الأصول التقنية من خلال آلية التحقق المتعدد العوامل (Multi-Factor Authentication – MFA) وفق معايير جامعة نجران المعتمدة.
  6. 2-2-6. يجب استخدام حلول إدارة صلاحيات الوصول (Privilege Access Management Solution) لحماية التقنيات الحسّاسة وذات الصلاحيات الهامة.
  7. 2-2-7. يجب أن يتطلب الوصول إلى الأنظمة الحسّاسة استخدام آلية التحقق المتعدد العوامل (MFA)، والامتثال لمتابعتها من قبل موظفي جامعة نجران.


3.4 منح صلاحية الدخول عن بُعد:

  1. 2-3-1. يجب منح صلاحية الدخول عن بُعد للأصول المعلوماتية والتقنية بعد الحصول على إذن مسبق من إدارة الأمن السيبراني وتقييد الدخول باستخدام التحقق المتعدد العوامل (MFA) عبر قنوات آمنة ومعتمدة.
  2. 2-3-2. يجب حفظ ومراقبة سجلات الأحداث المتعلقة بجميع جلسات الدخول عن بُعد للأصول المعلوماتية والتقنية بشكل مستمر.


3.5 إلغاء وتغيير صلاحية الوصول:

  1. 2-4-1. عند انتقال أو انتهاء العلاقة الوظيفية بين المستخدم وجامعة نجران، أو تغيير مهامه، يجب على إدارة الموارد البشرية تبليغ إدارة تقنية المعلومات للقيام بإيقاف أو تعديل حسابات المستخدمين وصلاحياتهم بأقرب وقت ممكن وبأقصى قدر من الأتمتة.
  2. 2-4-2. يجب منع حذف سجلات الأحداث الخاصة بالمستخدم أو إيقاف صلاحياته قبل حفظها وفق سياسة إدارة سجلات الأحداث ومراقبة الأمن السيبراني المعتمدة لدى جامعة نجران.


3.6 مراجعة هويات الدخول والصلاحيات:

  1. 2-5-1. يجب مراجعة هويات الدخول (User IDs) واستخداماتها على الأنظمة الحساسة سنويًا على الأقل.
  2. 2-5-2. يجب مراجعة صلاحيات المستخدمين (User Profiles) واستخداماتها على الأصول المعلوماتية والتقنية الحساسة سنويًا على الأقل.


3.7 إدارة كلمات المرور:

  1. 2-6-1. يجب تطبيق سياسة آمنة لكلمات المرور ذات معايير عالية لجميع الحسابات داخل جامعة نجران، وفق سياسة إدارة الهويات والصلاحيات المعتمدة ومتطلبات التشريعات والتنظيمات ذات العلاقة.
  2. 2-6-2. يجب إشعار المستخدمين قبل انتهاء صلاحية كلمة المرور.
  3. 2-6-3. يجب منع استخدام كلمة مرور تم استخدامها سابقًا.
  4. 2-6-4. يجب ضبط الأنظمة لتطلب تغيير كلمة المرور عند أول تسجيل دخول للمستخدم.
  5. 2-6-5. يجب تغيير جميع كلمات المرور الافتراضية المثبتة على جميع الأصول المعلوماتية والتقنية قبل الإنتاج.
  6. 2-6-6. يجب تغيير السلاسل النصية الافتراضية مثل "Community" و"Public" و"Private" و"System" المستخدمة في إدارة أصول تقنية الشبكة (SNMP) إلى كلمات مرور مختلفة.


3.8 حماية كلمات المرور:

  1. 2-7-1. يجب تخزين ونقل جميع كلمات المرور للأصول المعلوماتية والتقنية بتقنية التشفير وفق سياسة التشفير المعتمدة لدى جامعة نجران.
  2. 2-7-2. يجب إخفاء كلمات المرور عند إدخالها على الشاشة (Password Mask).
  3. 2-7-3. يجب تعطيل خاصية "تذكّر كلمة المرور" (Remember Password) على الأنظمة والتطبيقات الخاصة بجامعة نجران.
  4. 2-7-4. يجب منع استخدام كلمات المرور المعروفة (Dictionary) من خلال إجراءات محددة.
  5. 2-7-5. يجب تسليم كلمات المرور الخاصة بالمستخدم بطريقة آمنة وموثوقة ومعتمدة.
  6. 2-7-6. في حال طلب المستخدم إعادة تعيين كلمة المرور عن طريق الهاتف أو أي وسيلة أخرى، فلا بد من التحقق من هوية المستخدم قبل إعادة تعيين كلمة المرور.
  7. 2-7-7. يجب حماية كلمات المرور الخاصة بحسابات الخدمة والصلاحيات الهامة والحسّاسة وتخزينها بشكل آمن في موقع مناسب (داخل مغلف مختوم في خزنة) أو باستخدام تقنيات إدارة صلاحيات الوصول (Privilege Access Management Solution).


4. الأدوار والمسؤوليات:

  • رئيس الأمن السيبراني: مالك السياسة.
  • إدارة الأمن السيبراني: مراجعة السياسة وتحديثها.
  • عمادة التحول الرقمي ومصادر المعرفة: مسؤولون عن تنفيذ السياسة.
  • إدارة الأمن السيبراني: مسؤولون عن قياس الالتزام بالسياسة.


5. التحديث والمراجعة:
يجب على إدارة الأمن السيبراني مراجعة هذه السياسة سنويًا أو عند حدوث تغييرات في السياسات أو الإجراءات التنظيمية أو المتطلبات التشريعية والتنظيمية ذات العلاقة بجامعة نجران.

6. الالتزام بالسياسة:

  • يجب على إدارة الأمن السيبراني التأكد دوريًا من التزام جميع العاملين في جامعة نجران بهذه السياسة.
  • يجب على كافة العاملين في جامعة نجران الالتزام بهذه السياسة.
  • أي انتهاك لهذه السياسة قد يعرض صاحب المخالفة لإجراء تأديبي حسب الإجراءات المتبعة في جامعة نجران.